di Antonio Ciccia Messina
Le aziende stanno investendo per l’adeguamento privacy (lo ha fatto il 58% nel 2017), dedicandosi in particolare alla valutazione del grado di conformità (87%). Ma alcune parti del Regolamento Ue 2016/679 sulla protezione dei dati (noto come Gdpr) rimangono un enigma (per esempio la privacy by design per il 55% e la valutazione di impatto privacy per il 42%) e non si sa che fare. Una via d’uscita, da costruire, la indicheranno i codici di condotta di categoria: sono indispensabili per tradurre in pratica la disciplina della violazione della sicurezza (data breach), per affrontare i quali anche le certificazioni daranno una mano.
Sono gli esiti della ricerca esposta nel rapporto Clusit 2018 (si veda l’articolo nella pagina precedente), condotta dall’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, in collaborazione con Cefriel e Deib e con il patrocinio di Clusit.
La ricerca 2017 dell’Osservatorio ha coinvolto 160 organizzazioni grandi (con più di 249 addetti) e 947 pmi (tra 2 e 249 addetti).
In sostanza le aziende si stanno muovendo, ma vanno a tentoni, anche a causa di un quadro normativo incerto e incompleto; ma devono darsi un aiuto da sé, sfruttando la possibilità dell’autoregolamentazione e acquisendo una certificazione.
Vediamo gli esiti più significativi della ricerca.
Le lacune. La ricerca ha indagato gli ambiti legati al Gdpr su cui le organizzazioni si sentono meno preparate e su cui sono, quindi, indietro nel percorso di adeguamento alla normativa.
Gli aspetti che le aziende ritengono dovrebbero essere maggiormente precisati (per esempio mediante la formulazione di linee guida) riguardano il principio della privacy by design e la pseudonimizzazione dei dati personali (55%), la valutazione d’impatto sulla protezione dei dati personali (42%), il tema della comunicazione della violazione dei dati personali all’interessato (40%), la figura del Data protection officer (32%), la notifica del data breach all’autorità di controllo (27%), il diritto alla portabilità dei dati personali (26%) e i legittimi interessi perseguiti dal responsabile del trattamento (24%). In particolare, l’applicazione del principio della privacy by design e il tema della pseudonimizzazione dei dati personali rappresentano la principale criticità per tutti i settori di mercato (gdo, bancario, assicurativo e manifatturiero).
Investimenti. Le aziende non sono rimaste comunque inerti. La ricerca ha registrato un notevole incremento del budget dedicato a misure di adeguamento e risposta al Gdpr. Mentre nel 2016 solamente nel 15% dei casi esisteva un budget dedicato (nel 7% pluriennale e nell’8% annuale), nel 2017 la percentuale ha raggiunto il 58%: il 35% del campione dichiara l’esistenza di un budget con orizzonte annuale, il 23% con orizzonte pluriennale.
È tuttavia ancora alta la percentuale di aziende che afferma che attualmente non esiste un budget: nel 23% dei casi sarà stanziato nel corso del 2018 e nel restante 19% non è previsto del tutto.
Cose fatte. La ricerca evidenzia come si sono mosse le aziende. Le principali azioni in corso o che sono già state definite riguardano la valutazione del grado di conformità (87%), l’individuazione dei ruoli e delle responsabilità (80%), la stesura o la modifica della documentazione (77%), la definizione delle politiche di sicurezza e valutazione dei rischi (77%), la creazione e l’aggiornamento del registro dei trattamenti (74%), la valutazione di impatto sulla protezione dei dati personali (57%), la procedura di data breach (53%), il servizio di Data protection officer (50%) e la predisposizione dei processi per l’esercizio dei diritti dell’interessato (49%).
Analizzando i singoli settori di mercato emerge come l’88% delle aziende del mondo della grande distribuzione organizzata si sta dedicando alla stesura o alla modifica della documentazione, l’80% delle aziende appartenenti al mondo bancario ha iniziato a stendere politiche di sicurezza e analisi dei rischi, mentre il 67% delle organizzazioni manifatturiere ha avviato un processo di valutazione della conformità normativa.
Data breach. Il Gdpr ha esteso l’obbligo di notificare al Garante della privacy e di comunicare agli interessati i casi di violazione della sicurezza, che vanno dal furto di un computer portatile all’attacco alla rete informativa e al data center.
Si tratta sostanzialmente di un’autodenuncia, che comporta un immediato effetto sulla reputazione commerciale di un’azienda, additabile come insicura e incapace a proteggere i propri dati. Per le aziende può essere una iattura, assolutamente da evitare. Le norme consentono di evitare notifiche e comunicazioni, purché qualcuno si prenda la responsabilità di dire che non ci sono rischi per gli interessati e che i dati non sono disponibili perché cifrati o comunque inviolabili. Sono valutazioni queste non facili da fare e perciò delicate, tenendo conto del fatto che non notificare/non comunicare espongono a salatissime sanzioni amministrative.
Nel rapporto Clusit si indicano due strade.
Le aziende, per evitare il rischio di un danno reputazionale, dovranno nel prossimo futuro adottare il codice di condotta che verrà presumibilmente stilato dalle associazioni di categoria e validato dal Garante, oppure affrontare un complesso meccanismo di certificazione.
Fonte: